SpringSecurity Context 中 获取 和 更改 当前用户信息的问题

SpringSecurity Context 获取和更改用户信息的问题

SecurityContext 异步线程中获取用户信息

今天在做项目时遇到了一个问题，我需要获取当前用户的 ID。之前，前端并没有存储用户信息，我一直是在后端的 service 中通过 SecurityContext 来获取用户信息，这个方法之前一直有效。然而，今天在另一个 service 中调用时却无法获取到用户信息。

经过详细排查，发现 SecurityContext 的内容是与请求线程（如 HTTP 请求）绑定的。但我当前的 service 是用于处理 MQTT 消息，这属于异步线程。因此，在异步线程中无法从 SecurityContext 获取用户信息，只能另寻解决方案。

 /*** 处理接收到的设备数据，根据数据类型进行不同的处理。energy数据存储到数据库，其他数据通过WebSocket发送到前端展示。* @param data 数据内容*/private void handleIncomingData(String data) {....../** 通过设备ID找到用户ID, 不能通过securityContext获取当前用户ID，因为这里是异步处理消息，不在请求线程中。* 通过securityContext获取当前用户ID的方法只能在请求线程中使用，通常是与HTTP请求相关的操作才能获取到。* 这里是MQTT消息处理，不在请求线程中，所以要通过其他方式获取当前用户ID。* 还因为这里是存入数据库，因为也不能依赖物理设备的用户ID，设备不一定是存用户ID, 降低耦合性。TODO: 这里是否可以改进？*/long userId = deviceMapper.findDeviceById(deviceId).getUserId();if (userId<=0) {//如果userId<=0，说明没有找到对应的设备logger.error("Failed to get user id by device id: {}", deviceId);throw new RuntimeException("Failed to get user id by device id: " + deviceId);}Energy energy = new Energy();energy.setDeviceId(deviceId);energy.setEnergy(totalEnergy);energy.setRecordDate(recordDate);energy.setUserId(userId);......}

SecurityContext 线程降级问题

在项目中遇到 SecurityContext 线程降级的问题，具体场景是用户修改个人资料（如邮箱）后，我希望 SecurityContext 中的用户信息能及时更新。然而，在修改邮箱后，用户需要跳转到邮箱验证码验证页面，该页面通过 security 配置中的 permitAll() 允许匿名访问。

这个配置导致一个问题：虽然用户已经登录认证，但在访问 /verify-code 页面时，SecurityContext 中的身份会被降级为匿名用户，进而导致更新后的信息没有在 SecurityContext 中及时反映。

我了解到可以通过 setAuthentication() 手动更新 SecurityContext，但尝试后依然无法解决问题，更新后的用户信息仍旧无法及时同步到 SecurityContext 中～

   @Beanpublic SecurityFilterChain filterChain(HttpSecurity http) throws Exception {http.csrf(AbstractHttpConfigurer::disable) // disable csrf.authorizeHttpRequests(authorize -> authorize.requestMatchers("/login","/register","/verify-code","/forgot-password","/change-password").permitAll()// permit request without authentication.requestMatchers("/ws/**").permitAll()// permit websocket request without authentication.anyRequest().authenticated()).addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class).logout(AbstractHttpConfigurer::disable);// disable logout otherwise it will conflict with our custom logoutreturn http.build();}